Active Directory Right Management Services : installation et configuration

Introduction

AD RMS ( Active Directory Right Management ) est un service Windows Server qui permet une gestion des droits étendus sur certains fichiers. Le système est similaire à la protection DRM qui permet de protéger la propriété intellectuelle.

En utilisation interne, AD RMS permet d’étendre les droits de sécurité NTFS en limitant les actions sur un fichier Word en empêchant l’impression ou l’enregistrement d’une copie. Afin d’augmenter la sécurité, le fichier est crypté ce qui le rend illisible.

Il est possible d’ouvrir sur l’extérieur le service AD RMS à l’aide du service ADFS.

Principe de fonctionnement

Afin d’appréhender le service AD RMS, voici un exemple pour l’utilisateur final.

Afin de protéger les documents d’exploitation rédigés par le PLAN à destination des équipes BUILD, le service AD RMS est utilisé en interne.

Lors de la diffusion d’un document, au moment de l’enregistrement des droits RMS sont appliqués à celui-ci de façon que seul les personnes apprenant au groupe IT_BUILD puissent l’ouvrir sans effectuer de modification et d’impression. Celui-ci est ensuite diffuser par email en pièce jointe.

Lors de l’ouverture d’une copie du document, celui-ci contact le serveur RMS afin de valider les droits appliqués au document pour savoir si la personne peut l’ouvrir et interagir avec.

Aperçu schématiquement du fonctionnement d’AD RMS

Voici une représentation schématique du fonctionnement du service AD RMS.

Prérequis et préparation au déploiement de AD RMS

Prérequis

Le déploiement d’AD RMS nécessite plusieurs prérequis au niveau infrastructure.

Le point le plus important est la formation des ‘utilisateurs à l’utilisation de ce service. Comme nous le verrons à la suite de ce tutoriel, les droits RMS sont appliqués par le créateur du document, ce qui rend autonome l’utilisateur, contrairement à un partage classique où la sécurité NTFS est assuré par le service informatique.

Prérequis pour le déploiement d’AD RMS :

• Un environnement Active Directory.
• Pour le cluster AD RMS un ou plusieurs serveurs membres du domaine Active Directory, de préférence dédiée à ce rôle.
• Dans le cas d’un déploiement de plusieurs serveurs AD RMS, prévoir une base de données SQL Server 2008 minimum. Si un seul serveur, il est possible d’utiliser la base interne à Windows (WID).
• Le ou les serveurs pour AD RMS doivent être membre du domaine.
• Les utilisateurs et groupes Active Directory doivent posséder une adresse e-mail dans leur attribut afin de pouvoir être utilisés avec AD RMS.
• Prévoir un nom DNS pour le cluster AD RMS :
  • Un enregistrement
  • Un certificat SSL (Autorité de certification d’entreprise).
• Les utilisateurs doivent avec un client compatible afin de pouvoir appliquer et lire les fichiers protégés.
  • Office Pro ou Adobe Pro pour appliquer des droits RMS.
  • Office ou Acrobat Reader pour ouvrir le ou les fichiers.

Préparation

Avant de commencer l’installation du rôle AD RMS, nous allons préparer l’environnement.

Création d’un groupe pour les super-utilisateurs

Afin de pallier une erreur utilisateur sur l’application des droits, il est possible de configurer dans AD RMS un groupe super-admin qui a la possibilité d’éditer tous les fichiers.

Depuis la console Utilisateurs et ordinateurs Active Directory, créer un groupe en indiquant une adresse de messagerie 1.

Ajouter ensuite, le ou les personnes qui pourront accéder à tous les documents.

Compte de service pour le cluster AD RMS

Lors de la configuration post-installation et de la création du cluster AD RMS, un compte de service doit être configuré. Toujours à l’aide de la console Utilisateurs et ordinateur Active Directory, créer un compte utilisateur standard dont le mot de passe n’expire jamais.

Un partage réseau

Créer un partage réseau accessible en Lecture par tout le monde et en contrôle totale par le compte de service. Ce partage va service à l’export au format XML des modèles stratégie de droits.

Enregistrement DNS

Créer un enregistrement DNS pour le nom du cluster qui pointent sur l’IP du serveur prévu au rôle.

Certificat pour le cluster

Si vous possédez une autorité de certification, prévoir un certificat au nom du cluster AD RMS.

Si vous n’avez pas de serveur IIS pour générer le certificat, il est possible de le faire depuis le serveur AD RMS après l’installation des rôles.

SQL Server (facultatif)

Si vous souhaitez mettre plusieurs serveurs AD RMS dans le cluster, il est nécessaire de prévoir une instance SQL Server

Déploiement des rôles AD RMS

Installation des rôles pour AD RMS

Depuis le gestionnaire de serveur, cliquer sur Ajouter des rôles et des fonctionnalités 1.

Au lancement de l’assistant, cliquer sur Suivant 1.

Type d’installation, choisir Installation basée sur un rôle ou une fonctionnalité 1 puis cliquer sur Suivant 2.

Sélectionner le serveur 1 et cliquer sur Suivant 2.

Dans la liste des rôles, cocher la case Services AD RMS (Active Directory Right Management) 1.

Confirmer l’ajout des dépendances au rôle en cliquant sur Ajouter des fonctionnalités 1.

Le rôle AD RMS est maintenant coché 1, cliquer sur Suivant 2.

Passer la liste des fonctionnalités en cliquant sur Suivant 1.

Un résumé du rôle AD RMS s’affiche, cliquer sur Suivant 1.

Sélectionner le service Active Directory Rights Management Server 1 et cliquer sur Suivant 2
.

Passer le résumé du rôle IIS en cliquant sur Suivant 1.

Cliquer sur Suivant 1 pour valider les services du rôle IIS.

Confirmer l’installation en cliquant sur le bouton Installer 1.

Patienter pendant l’installation …

L’installation terminée, quitter l’assistant en cliquant sur Fermer 1.

 Configuration post déploiement

Avant de lancer l’assistant de configuration post-déploiement, installer le certificat dans IIS.

Une fois le certificat installé, retourner sur le Gestionnaire de serveur, cliquer sur l’icône de notification 1 et cliquer sur Effectuer une configuration supplémentaire 2.

Au lancement de l’assistant s’affiche de nouveau le résumé des services AD RMS, cliquer sur Suivant 1.

Choisir l’option Créer un nouveau cluster racine AD RMS 1 et cliquer sur Suivant 2.

Choisir Utilisateur la base de données interne de Windows sur ce serveur 1 et cliquer sur Suivant 2.

L’utilisation de la base de donnée interne de Windows ne permet pas d’ajouter d’autre serveur au cluster.

Indiquer le compte de service créé au début 1 et cliquer sur Suivant 2.

Choisir le mode de chiffrement  2 1 puis cliquer sur Suivant 2.

Configurer le stockage des clés en sélectionnant Utilisateur le stockage de clé AD RMS géré de manière centralisée 1 et cliquer sur Suivant 2.

Entrer le mot de passe du cluster 1 et cliquer sur Suivant 2.

Ce mot de passe vous sera demandé pour joindre d’autre serveur au cluster AD RMS.

Choisir le site utilisé IIS pour AD RMS 1 puis cliquer Suivant 2.

Choisir le type de connexion SSL 1, entrer le nom de domaine du cluster 2 (URL) et cliquer sur Suivant 3.

Choisir le certificat qui correspond au nom DNS du cluster 1 puis cliquer Suivant 2.

Si nécessaire, changer le nom du certificat de licence du serveur 1 et cliquer sur Suivant 2.

Choisir l’option Enregistrer le pont de connexion de service maintenant 1 puis cliquer sur Suivant 2.

Un résumé de la configuration s’affiche, cliquer sur Installer 1.

Patienter pendant la configuration ….

Une fois la configuration appliquée, quitter l’assistant en cliquant sur Fermer 1.

L’installation et la configuration du service AD RMS est terminé, le service peut maintenant être utilisé par les utilisateurs ayant une version d’Office compatible.

AD RMS : configuration des super utilisateurs

La configuration des super utilisateurs va permettre de définir un groupe qui a accès à tous les documents quelque soit les droits appliqués dessus.

Dans cette partie, nous allons configurer le groupe créé dans la partie Préparation de l’environnement.

Ouvrir la console d’administration accessible par le menu Démarrer.

Depuis la console d’administration aller sur Stratégies de sécurité 1.

Cliquer sur Modifier les paramètres de super utilisateur 1.

Sans la partie Actions de la console, cliquer sur Activer les super utilisateurs 1.

Cliquer maintenant sur Modifier le groupe des super utilisateurs 1.

Entrer l’adresse e-mail du groupe 1 puis cliquer sur Appliquer 2 et OK 3.

On peut maintenant voir le groupe super utilisateurs de configuré 1.

Utilisation de AD RMS

Restreinte l’accès à un document Word avec AD RMS

Dans cette partie, nous allons voir comment restreinte l’accès à un document Word à l’aide d’AD RMS.

Pour rappel il faut :

• une adresse e-mail configuré aux utilisateurs
• Office Pro (201X) pour appliquer des restrictions.

Pour fonctionner, il peut être nécessaire de mettre l’url du cluster en site de confiance dans les options Internet.

Dans Word, créer un document, enregistrer le, puis cliquer sur FICHIER 1.

Cliquer sur Protéger le document 1, aller sur Restreinte l’accès 2 et cliquer sur Accès restreint 3.

La fenêtre qui s’ouvre permet de configurer les accès en lecture et modification, cocher la case Restreindre l’accès à 1 puis cliquer sur l’icône « groupe » dans la partie Lire 2.

Rechercher un utilisateur ou un groupe ayant une adresse e-mail de configurée 1 et cliquer sur OK 2.

Sur la capture ci-dessous, on peut voir que seulement l’utilisateur user2@lab.lan peut lire le document. Cliquer sur Autres options 1.

Depuis cette vue des droits, vous pouvez ajouter d’autres utilisateurs ou groupe, ajouter une date d’expiration …, cliquer sur OK 1 pour configurer les autorisations sur le document Word.

Dans les informations du document, on peut voir que celui-ci est protégé.

Depuis le mode édition, un bandeau s’affiche aussi pour indiquer que le document est en Accès restreint.

Essayer maintenant d’ouvrir le même document avec un utilisateur n’ayant pas le droit d’accéder au document, à l’ouverture de celui-ci un message d’erreur indiquant de contacter le propriétaire du contenu.

Si un utilisateur n’ayant pas d’adresse de messagerie de configurer essaie d’ouvrir le document, le message d’erreur suivant s’affiche : L’application a reçu une réponse inattendue du serveur Rights Management en raison d’une configuration incorrecte ou d’une erreur serveur. Veuillez contacter Microsoft pour obtenir une assistance supplémentaire.

Le message ci-dessous peut porter à confusion en retournant une erreur serveur RMS.

Si on ouvre le document avec user2, celui-ci est en lecture seule.

Modèles de stratégie des droits dans AD RMS

Dans cette partie, nous allons voir comment créer des modèles de stratégies de droits dans la console d’Administration AD RMS.

Un modèle contient un ensemble de droit qui permet aux utilisateurs d’appliqués rapidement des autorisations.

Pour illustrer l’utilisation d’un modèle, nous allons donner le droit de lecture à un groupe d’utilisateurs Active Directory.

Une fois le modèle appliqué au document, seul les membres du groupe pourront consulter le document en lecture.

Création d’un modèle

Créer un groupe dans l’Active Directory avec une adresse de messagerie et ajouter des membres.

Depuis la console d’administration des Services AD RMS, aller sur Modèles de stratégies de droits distribués 1 et cliquer sur Créer un modèle de stratégie de droits distribué 2.

Au lancement de l’assistant, cliquer sur Ajouter 1 pour configurer une ou plusieurs langues.

Sélectionner et configurer la langue 1 et cliquer sur Ajouter 2.

Maintenant que la langue est configurée, cliquer sur Suivant 1.

Cette page permet de configurer les autorisations, cliquer sur bouton Ajouter 1.

Entrer l’adresse de messagerie de l’utilisateur ou du groupe à qui les droits vont s’appliquer 1 et cliquer sur OK 2.

Il est possible de créer un modèle générique en cochant Tout le monde.

Configurer les autorisations 1 puis cliquer sur Suivant 2.

Laisser cocher la case Octroyer le contrôle total au propriétaire (auteur) sans date d’expiration, si celle-ci n’est pas cochée et que le créateur se trompe en appliquant les autorisations, il pourra être dans l’impossibilité de modifier son fichier.

Configurer l’expiration du contenu si nécessaire 1 ainsi que la licence d’utilisation 2 et cliquer sur Suivant 3.

La licence d’utilisation est l’autorisation donnée par le serveur à un utilisateur pour exploiter le document.

Si nécessaire, modifier les options avancées de la stratégie, cliquer sur Suivant 1.

Cliquer sur Terminer 1 pour créer pour la stratégie.

La révocation permet de rendre invalide une licence d’utilisation avant son expiration.

Le modèle est maintenant disponible 1.

Configuration de l’emplacement des fichiers

Depuis la vue de modèle cliquer sur Modifier l’emplacement du fichier de modèles de stratégie de droits distribués 1.

Cocher la case Activer l’exportation 1, entrer le chemin UNC 2 du partage configuré et cliquer sur Appliquer 3.

Une fois l’emplacement défini 1 cliquer sur OK 2.

On voit maintenant que l’emplacement est configuré 1.

On peut voir le dossier contient le modèle configuré au format XML.

Utilisation des modèles

Le fonctionnement est identique qu’un Accès restreint, il suffit de sélectionner le modèle pour l’appliquer au document.

Rapports AD RMS

Depuis la console, il est possible de générer des rapports sur l’utilisation des services AD RMS.

Trois types de rapport sont disponibles et configurable : 

• Rapports statistiques
• Rapports d’intégrité
• Rapports de dépannage

Ci-dessous des exemples de rapports : 

Conclusion

Pour résumer AD RMS permet de mettre en place une solution pour sécuriser la diffusion des documents en plus des droits NTFS

La principale difficulté pour la mise en place de service est la formation des utilisateurs qui sont automnes sur l’application des autorisations.

Compléments :

• AD RMS Troubleshooting Guide
• AD RMS Troubleshooting: Reset the Client (MSIPC)
• Disaster Recovery Guide for Active Directory Rights Management Services
• AD RMS portal
• ADRMSAdmin